Digitale Zeiterfassung und Mitarbeiterdatenschutz

Die klassische Stempeluhr wird mehr und mehr aus den Unternehmen verbannt und durch digitale Zeiterfassungssysteme ersetzt. Dies kann vorteilhaft sein, doch ist es datenschutzrechtlich zulässig?

Die klassische Stempeluhr wird mehr und mehr aus den Unternehmen verbannt und durch digitale Zeiterfassungssysteme ersetzt. Die Vorteile der Erfassung der Arbeitsstunden durch Transponder, Chip – und Magnetstreifenkarten liegen auf der Hand: der Aufwand bei der Verarbeitung der erfassten Zeit zum Zwecke der Stunden – und Gehaltsabrechnung wird auf ein Minimum beschränkt. So sparen die Unternehmen Zeit und Geld. Überschreitungen der regulären Arbeitszeit werden minutengenau erfasst, nachträgliche Manipulationen erschwert und Fehler vermieden, wodurch der übliche Streit über nicht erfasste Überstunden beigelegt werden kann. So profitieren auch die Beschäftigten von der exakten Zeiterfassung am Arbeitsplatz

Elektronische Zeiterfassung in der Regel zulässig

Aus datenschutzrechtlicher Sicht dürfte die digitale Zeiterfassung am Arbeitsplatz in den meisten Fällen zulässig sein, weil der Arbeitgeber grundsätzlich ein berechtigtes Interesse an der Zeiterfassung hat. Durch die elektronische Zeiterfassung kann der Arbeitnehmer Überstunden genau dokumentieren und dezidiert darlegen, woraus er einen möglichen Anspruch auf Vergütung der Überstunden geltend machen kann.

Die digitale Zeiterfassung ist nach § 26 Abs. 1 BDSG zur Durchführung des Beschäftigungsverhältnisses in aller Regel erforderlich. Auch hat der Arbeitgeber ein berechtigtes Interesse an der Arbeitszeiterfassung nach Art. 6 Abs. 1 S. 1 lit. f DSGVO. Der Dienstherr ist unter Umständen sogar verpflichtet, die tägliche Arbeitszeit seiner Mitarbeiter aufzuzeichnen, wie es etwa § 16 Abs. 2 ArbZG vorschreibt. Danach kann in Einzelfällen auch Art. 6 Abs. 1 S. 1 lit. c DSGVO als Rechtsgrundlage für die (digitale) Zeiterfassung herangezogen werden.

Die Grenze des Erlaubten ist dabei regelmäßig dann erreicht, wenn Transponder, Chipkarte und Co. zur Erstellung von Bewegungsprofilen oder einer sonstigen Kontrolle des Arbeitnehmerverhaltens eingesetzt werden.

Mitbestimmungsrecht des Betriebsrats bei elektronischer Zeiterfassung

Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Dazu gehören auch Zeiterfassungssysteme. Denn diese Systeme werden in aller Regel zumindest theoretisch dazu geeignet sein, das Verhalten der Beschäftigten zu kontrollieren. Keine Rolle spielt dabei, ob der Arbeitgeber eine solche Überwachung tatsächlich auch beabsichtigt.

Allerdings hat der Betriebsrat nur das Recht, die konkrete Nutzung des Systems mitzugestalten. Welches Zeiterfassungssystem konkret zum Einsatz kommt oder ob ein solches überhaupt eingeführt wird, obliegt nicht seiner Entscheidungsgewalt.

Dementsprechend tut der Arbeitgeber gut daran, schon während der Planungsphase den Betriebsrat mit einzubeziehen, um mit ihm die konkrete Ausgestaltung des Systems zu diskutieren. So können böse Überraschungen im Nachhinein vermieden werden. Nach derzeitiger Rechtsprechung des BAG ist davon auszugehen, dass alle technischen Einrichtungen zur Zeiterfassung vom Mitbestimmungsrecht umfasst sind. Dies gilt selbst dann, wenn es sich dabei beispielsweise um einfache Listen in Word oder Excel handelt, in welchen die Arbeitszeiten von den Beschäftigten selbst manuell erfasst werden. Überdies erscheint es ratsam, eine entsprechende Betriebsvereinbarung zu schließen und den Datenschutzbeauftragten einzubinden.

Problem: Biometrische Daten

Datenschutzrechtlich problematisch ist die immer mehr an Beliebtheit gewinnende Zeiterfassung unter Verwendung eines Fingerabdrucks oder Iris-Scans. Die dabei erfolgende Verarbeitung biometrischer Daten bringt den Vorzug mit sich, dass der jeweilige Mitarbeiter absolut zuverlässig und fälschungssicher identifiziert werden kann. Somit ist bei der Zeiterfassung  mittels biometrischer Daten ein Missbrauch nahezu ausgeschlossen. Ein weiterer Vorteil der Zeiterfassung mittels Fingerabdruck und Iris-Scan ist, dass kein Erfassungsmedium wie eine Chip- oder Magnetstreifenkarte erforderlich ist. Den Finger und das Auge haben die Mitarbeiter selbstredend ständig dabei. Dadurch reduziert sich der Aufwand für die Mitarbeiter in der Zeitwirtschaft ebenso, wie die Kosten für die Wiederbeschaffung von verloren gegangenen Erfassungsmedien für die elektronische Zeiterfassung.

Aber: biometrische Daten sind besondere personenbezogene Daten nach Art 9 Abs. 1 DSGVO, deren Verarbeitung an besondere Zulässigkeitsvoraussetzungen geknüpft ist.

Ihre Verarbeitung kann gem. § 26 Abs. 3 BDSG abweichend von Artikel 9 Abs. 1 DSGVO für Zwecke des Beschäftigungsverhältnisses zulässig sein, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

Der Einsatz einer solchen Technologie mag  in bestimmten Branchen, in denen die Sicherheit von Räumlichkeiten und Anlagen (z.B. Laboren oder Kernkraftwerken) eine übergeordnete Rolle spielt, zur Zugangskontrolle und möglicherweise auch zur Zeiterfassung eingesetzt werden dürfen. In den Bereichen, die keine derartige Gefahr birgen, wird  man im Rahmen einer Zweck-Mittel-Relation schnell zu dem Ergebnis kommen müssen, dass hier auch mildere Mittel (wie z.B. die Zeiterfassung mittels personalisierter elektronischer Karten) zur Verfügung stehen, die einen weniger gravierenden Eingriff in die schutzwürdigen Interessen der Beschäftigten bedeuten.

Einwilligung in die Verarbeitung biometrischer Daten?

Grundsätzlich ließe sich die Verarbeitung des Fingerabdrucks zur Zeiterfassung im Beschäftigungsverhältnis auf eine Einwilligung der Mitarbeiter nach § 26 Abs. 3 BDSG stützen. Allerdings bestehen erhebliche Zweifel hinsichtlich der Freiwilligkeit ihrer Erteilung im Rahmen eines Beschäftigungsverhältnisses und damit an der Wirksamkeit einer solchen Einwilligung. Hier muss sichergestellt sein, dass die Voraussetzungen für eine freiwillige Erteilung der Einwilligung vorliegen.

Notwendigkeit einer  Datenschutz-Folgenabschätzung

Sollte man im Ausnahmefall einmal zur datenschutzrechtlichen Zulässigkeit der Verwendung eines biometrischen Zeiterfassungssystems kommen, ist die Durchführung einer Datenschutz-Folgenabschätzung („DSFA“) nach Art. 33 Abs. 3 lit. b DSGVO für die geplante Verarbeitung in der Regel zwingend erforderlich. Die DSFA muss dabei in jedem Fall schon im Vorfeld der geplanten Verarbeitung durchgeführt werden und darf nicht erst stattfinden, nachdem mit der biometrischen Zeiterfassung bereits begonnen worden ist.

6. Dezember 2018